Les utilisateurs ne peuvent pas faire confiance. La plupart d'entre eux sont paresseux et choisissent le confort plutôt que la sécurité. Selon les statistiques, 21% notent leurs mots de passe des comptes professionnels sur papier, 50% indiquent les mêmes mots de passe pour les services professionnels et personnels.

L'environnement est également hostile. 74% des organisations sont autorisées à apporter des appareils personnels au travail et à se connecter au réseau d'entreprise. 94% des utilisateurs ne peuvent pas distinguer une vraie lettre d'une lettre de phishing, 11% ont cliqué sur les pièces jointes.

Tous ces problèmes sont résolus par l'infrastructure à clé publique (PKI) de l'entreprise, qui assure le chiffrement et l'authentification du courrier, et remplace les mots de passe par des certificats numériques. Cette infrastructure peut être augmentée sur Windows Server. Comme décrit par Microsoft , les services de certificats Active Directory (AD CS) sont un serveur qui vous permet de créer des PKI dans votre organisation et d'utiliser la cryptographie à clé publique, les certificats numériques et les signatures numériques.

Mais la solution de Microsoft est assez chère.

Coût total de possession pour l'autorité de certification privée de Microsoft

Comparaison du coût de possession de Microsoft CA et de GlobalSign AEG. Source

Dans de nombreuses situations, il est plus pratique et moins coûteux de créer la même autorité de certification privée, mais avec une gestion externe. C'est exactement ce que résout GlobalSign Auto Enrollment Gateway (AEG). Plusieurs lignes de dépenses sont exclues du coût total de possession (achat d'équipement, frais de support, formation du personnel, etc.). Les économies peuvent dépasser 50% du coût total de possession .

Qu'est-ce que l'AEG

La passerelle d'inscription automatique (AEG) est un service logiciel qui sert de passerelle entre les services de certificats SaaS GlobalSign et l'environnement Windows de l'entreprise.

AEG s'intègre à Active Directory, permettant aux organisations d'automatiser l'enregistrement, l'approvisionnement et la gestion des certificats numériques GlobalSign dans un environnement Windows. En remplaçant les autorités de certification internes par des services GlobalSign, les entreprises améliorent la sécurité et réduisent les coûts de gestion d'une autorité de certification interne Microsoft complexe et coûteuse.

Les services de certificats GlobalSign SaaS sont une option plus fiable que les certificats faibles et non gérés sur votre propre infrastructure. L'élimination de la nécessité de gérer des autorités de certification internes gourmandes en ressources réduit le coût total de possession de l'ICP, ainsi que le risque de pannes du système.

La prise en charge des protocoles SCEP et ACME étend la prise en charge au-delà de Windows, y compris la délivrance automatisée de certificats pour les serveurs Linux, mobiles, réseau et autres appareils, ainsi que les ordinateurs Apple OSX enregistrés dans Active Directory.

Une sécurité accrue

En plus d'économiser du budget, la gestion PKI hors bande améliore la sécurité du système. Comme indiqué dans une étude du groupe Aberdeen, les certificats deviennent de plus en plus une cible pour les attaquants: ils exploitent avec succès des vulnérabilités bien connues telles que des certificats auto-signés non fiables, un cryptage faible et des mécanismes de révocation lourds. De plus, les attaquants ont maîtrisé des exploits plus complexes, tels que l'émission frauduleuse de certificats à partir d'autorités de certification de confiance et de faux certificats pour signer un code.

«La plupart des entreprises ne gèrent pas activement les risques associés à ces attaques et ne sont pas prêtes à répondre rapidement à un compromis», a écrit Derek E. Brink, vice-président et chercheur pour la sécurité informatique au sein du groupe Aberdeen. «En offrant aux entreprises la possibilité de transférer les aspects opérationnels de la gestion des certificats entre les mains d'experts, tout en maintenant le contrôle de l'entreprise sur les stratégies de groupe dans Active Directory, GlobalSign cherche à assurer une croissance future de l'utilisation des certificats, en résolvant les problèmes pratiques de sécurité et de confiance dans un modèle de déploiement efficace et rentable.»

Comment fonctionne AEG

Un système AEG typique comprend quatre composants clés pour garantir que les bons certificats sont transférés aux bons points d'accès:

1. Logiciel AEG sur un serveur Windows.
   
2. Serveurs Active Directory ou contrôleurs de domaine qui permettent aux administrateurs de gérer et de stocker des informations sur les ressources.
   
3. Points de terminaison: utilisateurs, appareils, serveurs et postes de travail - presque tous les objets qui sont des «consommateurs» de certificats numériques.
   
4. L'autorité de certification GlobalSign ou GCC, qui se trouve au sommet d'une plate-forme de certification et de gestion de confiance. C'est là que les certificats sont générés.

Trois des quatre composants présentés sont situés dans l'environnement local du client et le quatrième dans le cloud.

Tout d'abord, les points de terminaison sont préconfigurés à l'aide de stratégies de groupe: par exemple, en vérifiant un certificat pour l'authentification des utilisateurs, une demande S / MIME pour un certificat, etc., pour une connexion ultérieure au serveur AEG. La connexion est sécurisée via HTTPS.

Le serveur AEG envoie une demande à Active Directory via LDAP pour obtenir une liste de modèles de certificats pour ces points de terminaison, et envoie cette liste aux clients avec l'emplacement de l'autorité de certification. Après avoir reçu ces règles, les points de terminaison se reconnectent au serveur AEG, cette fois pour demander des certificats réels. AEG, à son tour, crée un appel d'API avec les paramètres spécifiés et l'envoie à l'autorité de certification GlobalSign ou GCC pour traitement.

Enfin, le côté serveur de GCC traite les demandes, généralement en quelques secondes, et envoie une réponse API avec un certificat qui sera installé sur demande aux points de terminaison.

L'ensemble du processus prend quelques secondes et peut être entièrement automatisé en configurant les points de terminaison pour obtenir automatiquement des certificats à l'aide de stratégies de groupe.

Caractéristiques uniques d'AEG

• Vous pouvez vous inscrire via la plateforme MDM.
  
• Développé par d'anciens employés de l'équipe Microsoft Crypto.
  
• La solution "sans client".
  
• Implémentation et gestion du cycle de vie simplifiées.

Exemples d'architecture

Ainsi, la gestion PKI externe via la passerelle GlobalSign AEG signifie une sécurité accrue, des économies de coûts et des risques réduits. Un autre avantage est son évolutivité facile et ses performances accrues. Une bonne gestion de l'ICP garantit une longue disponibilité, élimine l'interruption des opérations critiques en raison de certificats non valides et offre aux employés un accès distant et sécurisé aux réseaux de l'entreprise.

AEG prend en charge un large éventail de cas d'utilisation nécessitant une authentification à deux facteurs: des clients de groupes de travail distants accédant au réseau via VPN et Wi-Fi, à un accès privilégié à des ressources de cartes à puce hautement sensibles.

---

GlobalSign est un leader mondial dans la fourniture de solutions de gestion des identités et des accès PKI dans le cloud et le réseau. Vous pouvez spécifier des informations plus détaillées sur les produits auprès de nos responsables .